Capacitacion y sensibilizacion Modelo de Seguridad - Vivevive.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca... · 1 26/12/2008 Equipo del Proyecto Revisión interna

EENNTTRREEGGAABBLLEE 1155:: CCAAPPAACCIITTAACCIIÓÓNN -- MMOODDEELLOO DDEE SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIIÓÓNN PPAARRAA LLAA EESSTTRRAATTEEGGIIAA DDEE

GGOOBBIIEERRNNOO EENN LLÍÍNNEEAA

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2008

Página 2 de 42

CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA

ESTRATEGIA DE GOBIERNO EN LÍNEA

FFOORRMMAATTOO PPRREELLIIMMIINNAARR AALL DDOOCCUUMMEENNTTOO

Título: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Fecha elaboración aaaa-mm-dd: 26 – Diciembre – 2008

Sumario: CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Palabras Claves: Manejo de imagen, afiches, logos, folletos

Formato: Lenguaje: Castellano

Dependencia: Investigación y Planeación

Código: Versión: 1 Estado:

Documento para revisión por parte del Supervisor del contrato

Categoría:

Autor (es): Equipo consultoría Digiware

Revisó: Juan Carlos Alarcon

Aprobó: Ing. Hugo Sin Triana

Firmas:

Información Adicional:

Ubicación:

Página 3 de 42



CCOONNTTRROOLL DDEE CCAAMMBBIIOOSS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 0 17/12/2008 Miguel Angel Duarte. Elaboración del documento 1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware

Página 4 de 42



TTAABBLLAA DDEE CCOONNTTEENNIIDDOO

1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................ 5

1.1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................... 7 1.1.1. OBJETIVOS ESPECÍFICOS ............................................................................................................................................7 1.1.2. CAMPAÑAS DE SEGURIDAD DE LA INFORMACIÓN............................................................................................................7 1.1.3. LOGOTIPO ...............................................................................................................................................................8

1.2. INSTRUMENTOS DE SENSIBILIZACIÓN ............................................................................................................... 10 1.2.1. AFICHES................................................................................................................................................................10 1.2.2. FOLLETOS..............................................................................................................................................................13 1.2.3. MEDIO BTL...........................................................................................................................................................15 1.2.4. FONDOS DE PANTALLA ............................................................................................................................................16 1.2.5. RECORDATORIOS....................................................................................................................................................18 1.2.6. PRESENTACIONES ...................................................................................................................................................19

2. PLAN DE CAPACITACIÓN ............................................................................................................................. 20

2.1. CURSOS EN SEGURIDAD DE LA INFORMACIÓN..............................................................................................................20 2.1.1. GESTIONANDO LA SEGURIDAD DE LA INFORMACIÓN.....................................................................................................20 2.1.2. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN .......................................................................................................21 2.1.3. EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP ........................................................................22 2.1.4. SEGURIDAD EN REDES INALÁMBRICAS........................................................................................................................24 2.1.5. SEGURIDAD AVANZADA EN WINDOWS Y UNIX ............................................................................................................25 2.1.6. TÉCNICAS AVANZADAS EN ATAQUES Y DEFENSA ..........................................................................................................26 2.1.7. COMPUTACIÓN FORENSE.........................................................................................................................................28 2.1.8. PREPARACIÓN PARA LA CERTIFICACIÓN ETHICAL HACKING (CEH). ..................................................................................29 2.1.9. ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ....................................................................................30 2.1.10. PREPARACIÓN A LA CERTIFICACIÓN CISSP® ................................................................................................................39 2.2. TALLERES PRÁCTICOS...............................................................................................................................................41

3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN ....................................................................... 42

Página 5 de 42



1. PLAN DE SENSIBILIZACIÓN

La gran mayoría de las personas, desconoce sobre temas de seguridad de la información y, en especial, el alcance del tema. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?

Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y, a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado. Asimismo, con tan sólo recorrer un par de puestos de trabajo, se pueden encontrar contraseñas escritas y pegadas en la pantalla o debajo del teclado. Las alternativas que se recomiendan utilizar para que el plan de sensibilización sea factible son:

• Folletos

• Carteles

• Material BTL

• Material POP

• Uso de tecnoligia

• Presentaciones de Capacitación.

La campaña de sensibilización a los diferentes grupos objetivo definidos, tendrá una duración mínima de 12 meses, que iniciarán con el plan de sensibilización (ver capítulo 1.1), y después, se desarrollará un apoyo por medio de los afiches y folletos para dar a conocer masivamente la campaña para el público en general.

En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de Internet como los ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran siempre el recibo. Esto puede ser cambiado periódicamente por el juego que se encuentra anexo en los materiales diseñados como el “Rompecocos”, ver numeral 1.2.3 y en el numeral 4 del presente

Página 6 de 42



documento, ya que es dinámico, y da consejos útiles y eficaces. Los concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaña.

Los fondos de pantalla también pueden ser dados a conocer por medio de la página de Internet de Gobierno en Línea para que las personas los puedan descargar e instalar en sus computadores. Para los proveedores de Internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la información.

Las presentaciones también pueden ser descargadas desde la página de Internet para que las usuarios profundicen y aprendan más sobre el tema, así mismo, los cursos de capacitación pueden ser dictados para toda clase de proveedores de Internet de forma que mejoren la seguridad de la información se de sus empresas y conozcan mas sobre el modelo de seguridad de la información; estas capacitaciones están especificadas en el siguiente capítulo con sus contenidos, duración y desarrollo.

Los folletos, serán distribuidos en los café Internet de la misma manera que será distribuido el medio BTL; de este modo, los usuarios que no tienen acceso a un servicio de Internet desde el hogar, también serán beneficiados y serán conocedores del modelo de seguridad de la información.

Como recomendación adicional para todos los establecimientos proveedores de Internet como son los café Internet y Telecentros, se recomienda que ellos también asistan a los cursos de capacitación, en el mismo, se les dará un certificado de asistencia para que los administradores y propietarios dichos establecimientos, se hagan partícipes y a la vez, divulgadores de la campaña de seguridad de la información.

¿Porque necesitamos un plan de sensibilizacion en seguridad de la información?

• Existe la mentalidad que no hay nada importante por proteger en su computador.

• Existe el concepto errado que la tecnología por si misma puede resolver sus problemas de seguridad.

• Continuamente se generan nuevos métodos de “Ingeniería Social” que mediante engaños buscan obtener información confidencial.

• Debemos conocer tanto las amenazas externas como las internas.

Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la información para la estrategia de Gobierno en Línea, es, lograr que las personas conozcan los motivos y razones que generan los diferentes tipos de incidentes en seguridad de la información que existen alrededor de cada uno y acojan las debidas precauciones recomendadas a través medios de concienciación y sensibilización.

Esta presentación se puede dar a aconocer por medio de los cursos preparese 2009.

Página 7 de 42



Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios públicos, ISP, cafés internet y usuarios de Gobierno en Línea, con el fin de vincular a todas estas entidades y personas a que conozcan el modelo de seguridad de la información para la estrategia de Gobierno en Línea.

Conjuntamente, este plan de sensibilización, esta reforzado por las capacitaciones que se dictarán abarcando temas especializados en seguridad de la información, p. ej.: Análisis de riesgos, Modelo de seguridad SGSI, Planes de sensibilización, Planes de respuesta ante incidentes, Planes de continuidad del negocio, etc. las cuales están especificadas con más detalle en el punto 3 de capacitación dentro de este documento.

Ver Anexo presentación para sensibilización.ppt

1.1. Plan de Sensibilización:

Diseñar la campaña, estrategia de sensibilización, divulgación y concienciación sobre el nuevo MODELO DE SEGURIDAD DE LA INFORMACION PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA, creando un compromiso y un impacto positivo en las entidades del Gobierno y en las entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea, como los ISP, los Café Internet, Telecentros y Compartel, además de la comunidad académica y los ciudadanos en general.

1.1.1. Objetivos Específicos

• Diseñar la campaña de sensibilización y capacitación con los medios de comunicación que se propongan.

• Profundizar los conocimientos técnicos sobre seguridad de la información a los usuarios de

Gobierno en Línea y las empresas objetivo que implementen el modelo de seguridad.

• Contribuir a motivar el compromiso de los funcionarios públicos, ISP, cafés Internet y usuarios de Gobierno en Línea, con el modelo de Seguridad de la información.

• Sensibilizar a los ciudadanos sobre los riesgos en la seguridad de la información y cuales deben

ser las principales medidas de higiene a tener en cuenta a la hora de realizar trámites y transacciones por Internet.

1.1.2. Campañas de seguridad de la información:

Son campañas periódicas en donde se dedica un periodo de tiempo a divulgar un tema específico del Plan de sensibilización.

Temas y Niveles de Campaña:

Página 8 de 42



Nivel Básico

Dirigido a todos los usuarios de Gobierno en Línea y ciudadanos en general; desarrollado con conceptos básicos.

• Contraseñas Seguras • Internet Seguro • Seguridad física

Nivel Técnico

Dirigido a los profesionales y usuarios de Gobierno en Línea con temas más técnicos, mayor grado de profundización y complejidad en el área de la seguridad de la información.

• Contraseñas Seguras • Internet Seguro • Ingeniería Social • Seguridad física

Nivel Jurídico

Dirigido a los profesionales y/o directivos con una profundización más amplia en las nuevas leyes y regulaciones más relevantes a tener en cuenta en un modelo de seguridad de la información, como la Ley 1266 de 2008 de Habeas Data y la Ley 1273 sobre Delitos Informáticos.

• Delito Informático • Computación forense • Atención a incidentes

1.1.3. Logotipo:

El logotipo será el principal elemento de diferenciación como campaña de sensibilización, ubicará espacialmente al espectador dentro del contexto del Modelo de Seguridad de la información, y de su importancia como componente activo en la Estrategia de Gobierno en Línea.

El logotipo se incorporará como un trabajo de diseño que puede ser utilizado en la papelería, en afiches, carteles, en publicidad de prensa, merchandising, etc.

Página 9 de 42



Las propuestas para el logotipo son las siguientes:

La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Información, haciendo referencia directa a los ciudadanos y usuarios de Gobierno en Línea como parte significativa de la estrategia de seguridad.

El nombre está integrado con el logo creando así el logotipo de la campaña, imagen y frase concisa. La palabra clave representa que el usuario es el encargado de su seguridad y es responsable de protegerse por medio de recomendaciones en higiene de seguridad que se mencionan en la documentación del proyecto (ver documento Modelo Seguridad - SANSI –SGSI, numeral 5.7).

Colores:

Los colores utilizados son los mismos que representan a nuestro país, son utilizados como símbolo de patriotismo hacia el nuevo Modelo de Seguridad de la Información.

Amarillo: Es el color que genera la atención del usuario, el que capta todos sus sentidos; debido a que esta en contraposición con el negro, este color es el primero en generar atención.

Azul: Este es el que le da estabilidad a esta combinación de colores, ya que este color es el que genera la confianza y tranquilidad para el usuario.

Página 10 de 42



Rojo: Este color asocia al usuario con la precaución y fuerza. Está asociado con el amarillo y azul para generar confianza y así no creer que sea prohibido interactuar con el Modelo de Seguridad de la Información.

Negro: El negro es el toque de poder, autoridad y fortaleza que se le quiere dar al Modelo de Seguridad de la Información.

1.2. Instrumentos de Sensibilización

1.2.1. Afiches

Objetivo

Posicionamiento y continuidad visual de la campaña de sensibilización, divulgando los temas del Modelo de Seguridad de la Información básicos para entidades del Gobierno, ISP, cafés Internet y usuarios de la Estrategia de Gobierno en Línea.

Objetivos Específicos

• Abrir la campaña y darla a conocer. • Captar la atención de los funcionarios y población en general para que interactúen con el

Modelo de Seguridad. • Relacionar e interactuar la campaña con el programa de capacitación PREPÁRESE de la

Estrategia de Gobierno en Línea. • Relacionar los afiches con los comportamientos que se buscan en cada uno de las personas

como pieza fundamental en el nuevo Modelo de Seguridad de la Información. • Sensibilizar y capacitar a través de las imágenes y el texto de los instrumentos.

Tiempo

Los afiches se colocarán al inicio de la campaña dando a conocer lo que se quiere hacer para que las personas se familiaricen con el nuevo Modelo de Seguridad de la Información; la idea es que se cambien cada mes con nuevos enunciados para que las personas tengan en cuenta las principales prevenciones, peligros y factores relacionados con la seguridad de la información.

A continuación, se explican los afiches propuestos para la campaña:

Página 11 de 42



Este afiche quiere dar a conocer de una forma grafica a las personas, los errores en que generalmente incurren con su información personal; con esto se trata de sensibilizar sobre los principales factores de la seguridad de la información como son la confidencialidad, la integridad y la disponibilidad.

Este afiche se hace para prevenir a las personas que no deben dejar que cualquier persona manipule su computador ya sea personal o el de la empresa ya que el usuario puede verse expuesto a fraudes, pérdida de datos, modificación de información, divulgación de información privada, entre otros peligros.

Página 12 de 42



Este afiche es para recordar a las personas que no deben abrir adjuntos que lleguen a su computador vía correo electrónico proveniente de personas desconocidas o por medio de páginas no solicitadas.

Este afiche es para recordar a las personas, de una manera diferente, que deben cerrar la sesión de su computador cuando no se encuentren en el puesto de trabajo. Esto evitará que personas ajenas realicen acciones no autorizadas o peligrosas desde el mismo.

Página 13 de 42



En este afiche se quiere transmitir a las personas lo importante que es para la empresa o para ellas mismas, la información que poseen en su computador. Se quiere llamar, de una manera diferente, la atención y curiosidad de las personas.

1.2.2. Folletos

Objetivo

Ofrecer información masiva más detallada sobre los aspectos más relevantes del Modelo de Seguridad.


• Conceptos claves en forma breve sobre la seguridad de la Información y las principales recomendaciones para que el Modelo de Seguridad de la Información sea utilizado por las entidades y la comunidad en general.

• Desarrollo de textos con una secuencia lógica de adquisición de conocimientos y comprensión de los mismos.

• Profundizar sobre las principales políticas y controles del Modelo de Seguridad de la Información en las entidades y más adelante, en los usuarios de Gobierno en Línea.

• Aconsejar sobre una adecuada higiene de la información.

Tiempo

Los folletos serán distribuidos al mismo tiempo que se lancen los primeros afiches de la campaña, con esto se le da apoyo y un impacto más proporcionado. A continuación, se presenta la propuesta de los folletos reaizados:

Página 14 de 42



Página 15 de 42



1.2.3. Medio BTL

Tiene los mismos objetivos que los folletos; la información de este es tener un contacto directo y a la vez dinámico, para que las personas interactúen con el Modelo de Seguridad de la Información, esto hará que la recordación sea mayor.

Tiempo

Este medio será lanzado como medio de apoyo a la campaña junto con los folletos.

Página 16 de 42



Nombre

Rompecocos. El objetivo de este juego, que se les dará a las personas, es que tengan recordación de las principales ideas relacionadas con la seguridad de la información por medio del juego:

1.2.4. Fondos de Pantalla

Las entidades y sus funcionarios, son el grupo objetivo de la campaña de sensibilización propuesta. El computador o portátil, es la herramienta esencial para el desarrollo de sus labores.

Objetivo

Página 17 de 42



Diseñar e implementar los fondos de pantalla propuestos para ser instalados en los computadores de los funcionarios en las entidades objetivo, ya que este es el medio de contacto más directo para crear conciencia de la seguridad de la información, valiéndose de elementos visuales que servirán principalmente para sensibilizar y reforzar los principios básicos de la seguridad de la información.


• Unir los elementos más importantes de las piezas gráficas y sus conceptos en una sola idea dinámica.

• Proteger la información sensitiva de las estaciones de trabajo. • Reforzar los conceptos básicos de Seguridad de la Información.

Estructura

• Unidad de campaña. • Graficas y textos de los afiches y folletos, con los conceptos más relevantes de cada uno, en

un entorno dinámico.

Página 18 de 42



1.2.5. Recordatorios

Creación de contraseñas seguras

Objetivo

Elementos de sensibilización que serán entregados a las personas que asistan a las capacitaciones, estas son de uso personal, con el fin que ellos puedan crear contraseñas seguras tanto en su ambiente laboral como en su vida cotidiana.

ESPECIFICACIONES

Juego Rubik con un papel para decirles a las personas que las claves tienen que ser mínimo de ocho dígitos y alfanuméricas, estos cubos llevaran letras y números surtidos.

Página 19 de 42



1.2.6. Presentaciones

Objetivo

Material de divulgación y estudio con conceptos técnicos del Modelo de Seguridad de la Información.


• Plasmar con mayor profundidad conceptos, definiciones y explicaciones técnicas del Modelo

de Seguridad de la Información implementado para la Estrategia de Gobierno en Línea. • Facilitar a la Estrategia de Gobierno en Línea, la difusión y el entendimiento del Modelo de

Seguridad de la Información implementado en las entidades objetivo.

Especificaciones • Todos los elementos se entregan es su formato original, ver numeral 4 del presente

documento para mayor información. • Afiches: Adobe Photoshop. • Fondos de pantalla: Adobe Photoshop. • Logos: Adobe Illustrator. • Material BTL: Freehand MX. • Recordatorio: Freehand MX

Página 20 de 42



2. PLAN DE CAPACITACIÓN

2.1. Cursos en Seguridad de la Información:

Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información:

2.1.1. Gestionando la Seguridad de la Información

Duración: 2 días (16 horas)

Descripción:

El curso ayudará a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de Gestión de Seguridad de la Información – SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementación y evaluación para llevar a la organización a un nivel apropiado de seguridad de la información y estar preparados para buscar la certificación de la compañía.

A quién está dirigido ?

• Gerentes o Directores de informática o tecnología. • Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de

la Información. • Profesionales que actualmente desempeñen labores de auditoría.

Pre-requisitos:

Página 21 de 42



• Conocimientos básicos en Seguridad de la Información, definiciones. • Conocimientos básicos en la norma ISO /IEC 27001 • Conocimientos básicos en informática y tecnología. • Conocimientos en análisis de riesgos

Conocimientos adquiridos en el curso:

• Fundamentos de Seguridad de la Información. • Introducción a la Norma ISO 17799, ISO/IEC 27002. • Introducción a la Norma BS 7799-2, ISO/IEC 27001. • El Sistema de Gestión de Seguridad de la Información – SGSI. • Los Dominios de Control. • Identificación de la aplicabilidad de los mecanismos de control. • Definición e implementación de la estrategia. • El proceso de Análisis de Riesgos. • Factores críticos de éxito en la implementación del SGSI.

Temas de los talleres prácticos:

• Análisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001). • Identificación de controles de la norma aplicables a riesgos identificados. • Desarrollo de una declaración de aplicabilidad. • Valoración de la implementación del SGSI. • Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.

2.1.2. Estándares de Seguridad de la Información


Descripción:

El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estándares de Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los estándares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES OXLEY, PMBOK, con énfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los asistentes tendrán un conocimiento más claro de cada estándar y contarán con una hoja de trabajo que facilite su comparación y selección de acuerdo con las expectativas de cada organización.

A quién está dirigido:

• Gerentes o directores de informática o tecnología • Responsables por la Seguridad de la Información • Gerentes de Riesgo • Gerentes de control interno o auditoria interna

Página 22 de 42



• Auditores de sistemas • Gerentes y responsables por la planificación de la continuidad del negocio

Prerrequisititos:

• Conocimientos básicos en seguridad de la información • Conocimientos básicos en análisis de riesgos • Conocimientos básicos en auditoria


• Objetivos, alcances y puntos esenciales de cada estándar mencionado • Elementos necesarios para la comparación de estándares • Construcción de una hoja de trabajo para la comparación de estándares • Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestión de

riesgos, seguridad de la información y auditoria.


• Riesgos de no utilizar estándares y mejores prácticas • Construcción de la hoja de trabajo para comparación de estándares • Identificación de rutas alternativas para la implementación de estándares

2.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP


Descripción:

El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementación de un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de pautas claves que debe seguir el Líder de BCP para la protección efectiva de la información de la organización, así como el personal y demás recursos, en caso de ocurrir un desastre. De igual forma se revisarán ejemplos y prácticas recomendadas para implementar planes de continuidad del negocio. Al final del curso los asistentes tendrán un conocimiento más profundo sobre la práctica real, la implementación de políticas, el ciclo de vida de un BCP y el rol que el Líder de BCP desempeña en el mismo.

Página 23 de 42




• Gerentes o directores de informática o tecnología. • Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de

la Información. • Profesionales que actualmente desempeñen labores de auditoría. • Profesionales que actualmente estén trabajando el tema de continuidad del negocio y/o

recuperación ante desastres. • Profesionales de cualquier área de una compañía.

Pre-requisitos:

� Conocimientos básicos en manejo de riesgos. � Conocimientos básicos sobre procesos.


� La teoría básica de BCP/DRP. � Planes de contingencia y recuperación ante desastres (DRP). � La teoría básica de BIA/RIA. � La teoría básica de RTO/RPO/MAO/FTL. � Mantenimiento y Entrenamiento. � Estrategias de continuidad del Negocio. � Desarrollo e Implementación. � Prácticas, Mantenimiento y Auditoria.


• Planeación de un BCP. • Análisis de riesgos (RIA). • Análisis de Impactos (BIA). • Desarrollo de estrategias. • Desarrollo de un BCP. • Sensibilización y capacitación. • Prueba y ejercicio. • Mantenimiento y actualización. • Planes de evacuación y manejo de crisis.

Página 24 de 42



2.1.4. Seguridad en Redes Inalámbricas

Duración: 16 Horas (2 días)

Descripción:

Es un curso teórico-práctico en el cual se busca explorar el funcionamiento básico de redes inalámbricas, sus problemas de seguridad y las mejores prácticas de seguridad en estas redes. En la parte teórica se desarrolla una introducción detallada a los aspectos básicos de funcionamiento de redes inalámbricas. En la parte práctica se busca evidenciar los problemas de seguridad existentes en las redes inalámbricas y generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.


• Gerentes o directores de informática o tecnología. • Gerentes o directores que tengan a cargo el tema de Seguridad de la Información.. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de seguridad de

la Información. • Profesionales que actualmente desempeñen labores de auditoría. • Gerentes o directores del área de telecomunicaciones. • Profesionales que actualmente desempeñen labores en el área de Telecomunicaciones. • Administradores de redes. • Profesionales que actualmente desempeñen labores en el área de IT.

Pre-requisitos:

• Conocimientos básicos en redes Inalámbricas y comunicaciones, definiciones. • Conocimientos básicos en informática y tecnología. • Conocimientos básicos de Linux. • Conocimientos básicos de Windows. • Curso Básico de Seguridad de la Información.


• Conceptos básicos y avanzados de redes inalámbricas. • Conceptos básicos y avanzados de seguridad en redes inalámbricas. • Vulnerabilidades en protocolos, procesos y autenticación. • Técnicas de ataque comunes. • Técnicas de aseguramiento de redes inalámbricas. • Comandos y herramientas comúnmente utilizadas.

Página 25 de 42



Acerca de los laboratorios:

Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados, en plataformas Linux y Windows.

Cada uno de los laboratorios diseñados para este curso se encuentran organizados para evidenciar de forma práctica las vulnerabilidades existentes en redes inalámbricas, cómo explotar estas vulnerabilidades y busca la comprensión por parte de los participantes de las mejores prácticas de seguridad para implementar una apropiada configuración dentro de las redes, evitando las posibilidades de ataques, pérdida de información o negación de servicios.

2.1.5. Seguridad Avanzada en Windows y Unix


Descripción:

Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con más instalaciones a nivel mundial: Windows y Unix. No sólo se examinan los problemas sino las principales herramientas de seguridad que debe conocer todo administrador para asegurar estas plataformas y mitigar los riesgos de seguridad de la información.


• Administradores de servidores Windows y Unix • Oficiales de seguridad de la información • Programadores de aplicaciones que funcionen en estas plataformas • Personal técnico y/o soporte Windows o Unix

Prerrequisititos:

• Conocimientos básicos de Windows y Unix (comandos, sistema de archivos, usuarios) • Conocimiento en aplicaciones Windows • Conocimientos de redes y comunicaciones • Curso básico de seguridad de la información

Página 26 de 42




• Conceptos de seguridad en sistemas operacionales • Nivel C2 de seguridad de sistemas operacionales • Conceptos avanzados de seguridad en Windows y Unix • Técnicas de ataques comunes a plataformas Windows y Unix • Vulnerabilidades en protocolos, puertos y servicios • Vulnerabilidades asociadas a las instalaciones por defecto • Administración de usuarios, contraseñas y permisos • Configuración segura de servidores Web, Correo, DNS • Configuración y uso de herramientas de detección y monitoreo


Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos asociados.

Se puede contar con laboratorios prácticos como:

• Escalamiento de privilegios • Ataques a los servicios más comunes • Ataques y aseguramiento de IIS • Sniffers • Encripción de archivos • Configuración de IDS • Configuración de control de acceso • Debilidades asociadas a cada arquitectura • Aseguramiento de servidores • Comandos y herramientas comúnmente utilizadas

2.1.6. Técnicas Avanzadas en Ataques y Defensa

Duración: 40 horas (5 días)

Descripción:

Curso teórico práctico que busca brindar a un oficial de Seguridad de la Información o administrador de red la habilidad para implementar tecnologías avanzadas de seguridad para la protección de la infraestructura tecnológica de su empresa. Se conocerán técnicas y herramientas enfocadas a distintos

Página 27 de 42



tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operación de un intruso, sus tácticas, desde las más comunes y sencillas, hasta aquellas técnicas y estrategias de ataque más elaboradas, posteriormente se aprenderán los mecanismos de defensa con los cuales se puede detener a un intruso.


� Administradores de Firewalls, IDS, redes, sistemas y aplicaciones. � Personal de Seguridad de la Información. � Oficiales de Seguridad de la Información.

Pre-requisitos:

� Buen entendimiento en redes y TCP/IP. � Conocimientos básicos de programación en C. � Buen entendimiento práctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones

asociadas. � Buen entendimiento práctico y manejo básico de plataformas Unix (Mandriva, Redhat, SuSe) y de

aplicaciones asociadas. � Conocimientos conceptuales básicos de Seguridad de la Información. � Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologías de seguridad.


• Evolución de la Seguridad de la Información. • Cómo identificar y comprender los tipos de ataques existentes en la actualidad. • Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos

(Unix, Windows). • Cómo poner en práctica las técnicas de ataques mediante laboratorios guiados. • Conocer en profundidad las estrategias de ataques. • Detección de herramientas en un sistema atacado. • Detección en línea de ataques. • Cómo engañar a los intrusos. • Implementación de herramientas de defensa. • Diseño e implementación de arquitecturas de defensa.


Desde el inicio del curso hasta el final, se diseñarán e implementarán diferentes arquitecturas de ataque y defensa, donde se incluirán diversos temas, entre otros:

� Recolección de información � Sniffers � ARP Spoofing � TCP- Hijacking � Buffer Overflows � Puertas Traseras � Detección de herramientas en un sistema atacado

Página 28 de 42



� Configuración de alertas � Configuración de IDS � Configuración de honeypots � Monitoreo y registro del sistema. � Implementación de mecanismos de defensa en redes, sistemas operativos y aplicaciones

2.1.7. Computación Forense

Duración: 5 días (40 horas).

Descripción:

Es un curso teórico-práctico que presenta las técnicas utilizadas en la recolección, preservación, manipulación y análisis de evidencia digital relacionada con delitos informáticos. Proporciona al participante una visión clara sobre aspectos importantes de la práctica forense como dónde buscar evidencia y de qué manera analizarla con altas probabilidades de éxito y minimización de la alteración de la misma. Adicionalmente se presenta el enfoque hacia la implementación de mejores prácticas en el manejo de incidentes de seguridad de la información.


� Miembros de grupos de respuesta a incidentes de Seguridad de la Información. � Oficiales de Organismos de Seguridad de la República, encargados de conducir investigaciones

relacionadas con delitos informáticos. � Investigadores forenses encargados de recolectar y/o analizar evidencia digital.

Conocimientos adquiridos en el Curso:

� Conceptos básicos de computación forense. � Teoría de los diferentes sistemas de archivos. � Tipos de delitos informáticos. � Identificación y mejores prácticas en la respuesta a incidentes. � Métodos de almacenamiento en medios volátiles y no-volátiles. � Qué evidencia recolectar y dónde hacerlo. � Técnicas de recolección de evidencia digital. � Manipulación y preservación de la evidencia digital. � Procedimientos de análisis de evidencia digital. � Elaboración de informes.


Cada participante tendrá asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados.

Página 29 de 42



Diseñar laboratorios especiales para los siguientes temas:

� Lectura de líneas de tiempo. � Técnicas de recolección de evidencia digital (en Host y en Red). � Procedimientos de análisis de evidencia digital.

Pre-requisitos:

� Conocimiento de sistemas operativos Unix (utilización, comandos). � Conocimiento de sistemas de archivos (Conceptos básicos de EXT2/3, FAT12/16/32, NTFS). � Alto nivel técnico en general. Bases numéricas, Conceptos de TCP/IP, Conceptos de Redes,

Conceptos de IDS (Sistemas de Detección de Intrusos), entre otros.

2.1.8. Preparación para la Certificación Ethical Hacking (CEH).

Duración: 5 días (40 horas, el último día es el simulacro del examen)

Descripción:

Curso teórico - práctico en el que el asistente adquiere conocimientos avanzados de Hacking contra diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.

A quien está dirigido:

� Ingenieros de Sistemas � Ingenieros Electrónicos � Administradores de Red � Profesionales de Seguridad de la Información

Prerrequisitos:

� Conocimientos básicos de seguridad � Conocimientos básicos de Linux


Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las amenazas que pueden afectar los activos de la información. Se adquirirán las destrezas para descubrir los puntos más vulnerables de la organización mediante técnicas reales de Hacking aprendidas en el curso.

Página 30 de 42



Contenido del curso:

Día 1 - Reconocimiento de red y Test de Penetración

Día 2 - Explotación remota de vulnerabilidades y Ataques a autenticación de password

Día 3 - Acceso extendido y Penetración profunda a los objetivos

Día 4 - Ataques a infraestructura de red, Ataques Inalámbricos, Remoción de evidencia

Día 5 - Hacking a aplicaciones Web y simulacro examen

2.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor

Objetivo:

� Este curso de 5 días (el sexto día corresponde al examen de certificación) brinda el entendimiento y conocimiento de los sistemas de administración de información de terceras partes. Dado que el objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificación de oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso está diseñado para seguir las etapas de una auditoria en la práctica, incluyendo simulacros de entrevistas de auditorías y los roles que son jugados en las reuniones de cierre.

Estructura de curso:

� Antecedentes y visión general de la norma ISO/IEC 27001 y otros Estándares de Seguridad de la Información.

� Introducción e implementación de un sistema de auditoría y el rol del auditor en el proceso. � Gestión del rol en la revisión de riesgos y la efectividad en general del Sistema de Gestión de

Seguridad de la Información � Planeación y manejo de un proceso basado en auditoria: � Recursos y tiempo � Uso de checklists � Selección de grupos de auditoria � Conduciendo una auditoria – destrezas, técnicas y competencias del auditor: � Evaluación del significado de los hallazgos encontrados en una auditoria � Comunicación y presentación de reportes de auditoria � No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas

Página 31 de 42



� Manejo de la evaluación de la tercera parte y el proceso de certificación.

Beneficios de la certificación:

� Desarrollo de competencias para la evaluación del manejo de riesgos y controles esenciales para el Sistema de Gestión de Seguridad de la Información.

� Entendimiento del rol de los auditados en el Sistema de Gestión de la Seguridad de la Información y el rol de los auditores para promover el mejoramiento continúo.

� Habilidades para el total entendimiento de cómo las terceras partes perciben el Sistema de Gestión de Seguridad de la Información y su cumplimiento para la certificación.

� Colaboración de los auditores para crear un ambiente que conduzca a la excelencia.

A quien está dirigido:

� Profesionales que deseen certificarse como ISMS Auditores Lideres registrados. � Profesionales que lideren el tema de la certificación de sus organizaciones en el Estándar ISO/IEC

27001:2005 � Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento

de los principios desarrollados en este curso.

Metodología:

� Este es un curso altamente participativo basado en una serie de sesiones usando tutorías, casos de estudio, talleres interactivos y discusiones abiertas, generando un ambiente práctico que provee una única oportunidad para guiar y entrenar al participante.

Agenda:

Día 1 Tema Observaciones

08:30 registro

09:00 Modulo 1 Bienvenida e introducción Resumen de la estructura del curso

Tutoría: Gestión de la Seguridad de la

Una visión al Sistema de Gestión de la Seguridad

Página 32 de 42



Modulo 2 Información

Modulo 3

Tutoría: Visión de la Auditoria

Discusión en el marco de una auditoria, incluyendo auditores de primera, segunda y tercera parte para asegurar un entendimiento común de lo que es un auditor, terminología y estándares.

Modulo 4

Tutoría: Estándares en la Gestión de la Seguridad de la Información

Una mirada a algunos de los principales requerimientos del Sistema de Gestión Seguridad de la Información: Estándares y Controles

12:30 Almuerzo

13:15 Modulo 6 Taller: Auditoria Práctica Ejercicio práctico usando la norma e identificando los controles usados

Modulo 5

Estándares en la Gestión de la Seguridad de la Información

Continuación: incluyendo los controles y sumarios

Modulo 6A

Tutoría: Evaluación del riesgo

Mirada al inventario de activos, amenazas, vulnerabilidades, proceso de cálculo y valoración del riesgo

Taller: Evaluación del Ejercicio práctico diseñado para evaluar el inventario de activos y el proceso de

Página 33 de 42



Modulo 6B

Riesgo valoración del riesgo

Modulo 6C

Tutoría: Manejo del Riesgo Perspectiva general del tratamiento y proceso de del riesgo

Modulo 6D

Taller: Manejo del Riesgo Ejercicio práctico para evaluar el proceso de manejo del riesgo y generación de reportes.

Modulo 7

Tutoría: Documentación de los Sistemas de Gestión de Seguridad de la Información

Mirada a las políticas del Sistema de Gestión de Seguridad, procedimientos y documentación

Modulo 19 Tutoría: Sesión Informativa Parte 1

Introducción y discusión del examen

18:30 Cierre


08:30 Modulo 8 Taller: Documento de Studio: Sistema de Gestión de la Seguridad

Estudio de la documentación del Sistema de Gestión de la Seguridad de la

Página 34 de 42



Información

Modulo 9

Tutoría: Planeación de una Auditoria

Discusión sobre los puntos de consideración en la planeación de una auditoria

Modulo 10

Taller: Planeando una Auditoria

Sesión práctica para el desarrollo de un plan de auditoría.

Modulo 11 Tutoría: Checklists Discusión para efectivamente preparar y usar las notas de pre-auditoria y los checklists para el logro de objetivos.

12:30 Almuerzo

13:15 Modulo 12 Taller: Preparando checklists

Práctica para el desarrollo y uso de checklists

Modulo 13

Tutoría: Apertura de Reuniones

Discusión acerca de los puntos requeridos para cubrir la reunión de apertura

Modulo 14 Taller: Apertura de Reuniones

Ejercicio de rol: ejecución de la reunión de apertura

Modulo 15

Tutoría: Técnicas de Auditoria

Discusión de entrevistas, preguntas y técnicas de toma de notas

Página 35 de 42



Modulo 16

Taller: Estudio de caso de Auditoria – Parte 1

Ejercicio práctico: Introducción a un caso de estudio

Modulo 17

Taller: Trascripción de no conformidades - 1

Ejercicio práctico de introducción a las no conformidades

18:30 Cierre


08:30 Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2

Caso de Estudio 1 – preparación de la segunda parte

Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2

Retroalimentación 2

12:30 Almuerzo

13:15 Modulo 22 Tutoría: Trascripción de no Conformidades

Discusión para preparar un histórico de hallazgos

Modulo 23 Taller: Escritura de No Conformidades – Parte 2

Practica de escritura de no conformidades

Página 36 de 42



Modulo 20

Tutoría: Técnicas de Auditoria

Práctica en la preparación de la declaración de hallazgos

Modulo 21 Taller: Técnicas de Auditoria

Modulo 19 Sesión Informativa Información acerca del examen

Modulo 24 Caso de estudio 2 –Parte 1

Preparación del rol jugado en el caso de estudio 2

Modulo 24 Caso de estudio 2 – Parte 1

Retroalimentación

18:30 Cierre


08:30 Modulo 25 Caso de Auditoria 2 - Parte 2

Preparación para el resto del caso de estudio 2

Modulo 25 Caso de Auditoria 2 - Parte 2

Estudio y retroalimentación del caso de estudio 2

12:30 Almuerzo

Página 37 de 42



13:15 Modulo 26 Tutoría: Reuniones de Cierre

Discusión para planear y presentar una reunión de cierre

Modulo 27

Tutoría: Reportes

Discusión de los principales puntos que deben ser incluidos en los reportes y documentos de una auditoria

Modulo 32

Taller: Resumen de la auditoria Parte 1

Ejercicio práctico para preparar reportes de auditoria

Modulo 29 Taller: Cierre de Auditorias Parte 1

Ejercicios prácticos de juego de rol en las reuniones de cierre – preparación

Modulo 29 Taller: Reuniones de cierre – Parte 2

Retroalimentación de reuniones de cierre

18:30 Cierre


08:30 Modulo 30 Tutoría: Seguimiento y acciones correctivas

Discusión de los aspectos a ser cubiertos en las auditorias de no conformidades y seguimiento a las acciones

Página 38 de 42



correctivas

Modulo 34 Taller: Seguimiento y Acciones Correctivas

Ejercicio práctico en el análisis y efectividad de acciones correctivas y previa retroalimentación

Modulo 32 Taller: resumen de Auditoria Parte 2

Ejercicio para dar finalización a un resumen de auditoria

Modulo 33 Tutoría: Una perspectiva a las auditorias de de primera, segunda y tercera parte

Una mirada a las auditorias de primera parte.

12:30 Almuerzo

13:15 Administración -Examen

17:00 Cierre

� NOTA: El sexto día corresponde al desarrollo del examen de certificación.

Página 39 de 42



2.1.10. Preparación a la Certificación CISSP®


Qué es la Certificación CISSP®?

CISSP® es la certificación en Seguridad de la Información más reconocida a nivel mundial y es avalada por el (ISC)2, International Information Systems Security Certification Consortium.

Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en Seguridad de la Información con una ética comprobada en el desarrollo de la profesión.

El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es una organización sin ánimo de lucro que se encarga de:

� Mantener el “Common Body of Knowledge” en Seguridad de la Información. � Certificar profesionales en un estándar internacional de Seguridad de la Información. � Administrar los programas de entrenamiento y certificación. � Garantizar la vigencia de las certificaciones a través de programas de capacitación continua.

Requisitos de certificación CISSP®:

1. Firmar el Código de Ética del ISC2 2. Certificar experiencia de mínimo 4 años en el área de Seguridad de la Información en algún

dominio del CBK o certificar la misma experiencia por 3 años adicionando un título profesional 3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opción múltiple,

relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser resueltas en un periodo de 6 horas

4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato a CISSP®

Mayor información:

https://www.isc2.org/cgi-bin/content.cgi?category=1187

Página 40 de 42



Quién debería asistir:

Directores o gerentes de tecnología, directores y oficiales de seguridad de la Información y personal responsable en temas de seguridad de la Información dentro de la organización.

Contenido del Curso:

Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):

Dominio 1: Access Control

Dominio 2: Application Security

Dominio 3: Business Continuity Planning and Disaster Recovery Planning

Dominio 4: Cryptography

Dominio 5: Information Security and Risk Management

Dominio 6: Legal, Regulations, Compliance and Investigation

Dominio 7: Operations Security

Dominio 8: Physical (Enviromental) Security

Dominio 9: Security Architecture and Design

Dominio 10: Telecommunications and Network Security

Página 41 de 42



Beneficios de la certificación para la empresa:

� Permite contar con profesionales certificados con el conocimiento adecuado para establecer las mejores prácticas de seguridad en la compañía.

� El conocimiento certificado del “Common Body of Knowledge (CBK)” provee una gran capacidad para la definición de soluciones adecuadas para la organización.

� La certificación brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la Información.

� Permite la administración de riesgos de una organización, desde una perspectiva de negocio y tecnología.

Beneficios de la certificación para el profesional:

� Garantiza un alto nivel de conocimientos en Seguridad de la Información � Marca un diferencial entre profesionales dedicados a Seguridad de la Información � Reafirma un compromiso ético como profesional de Seguridad de la Información.

2.2. Talleres prácticos:

Se propone desarrollar los siguientes talleres en seguridad de la información:

• Análisis de riesgos. • Modelo de seguridad. • Planes de sensibilización. • Planes de seguridad.

Página 42 de 42



3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN

Se entregan adjuntos con este documento, los diseños en formato electrónico de los materiales y sus contenidos relacionados con la campaña de capacitación y sensibilización elaborados en la presente consultoría. Ver Carpeta “6. Capacitación - Material de capacitacion y sensibilizacion” en el CD-ROM entregado.

Documents

Capacitacion y sensibilizacion Modelo de Seguridad - Vivevive.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca... · 1 26/12/2008 Equipo del Proyecto Revisión interna